简介

人人都在说网络世界危机重重，数据泄露多么危险。但是数据泄露到底会带来什么后果？相信很多人都没有明确的概念。

今天小编就用希尔顿酒店的70万美元给你概念。折合人民币近500万。

希尔顿是全球最大的酒店品牌之一，4900家分店遍布104个国家和地区，旗下拥有 Hilton Hotels & Resorts、Waldorf Astoria、Conrad Hotels、DoubleTree、Embassy Suites、Hilton Garden Inn及Homewood Suites等酒店品牌。

详细经过

2015年年底，全球酒店连锁巨头希尔顿爆出两起黑客攻击事件，360万条客户信用卡信息遭泄露。事件曝光后，希尔顿酒店与美国两个州达成了70万美元的“庭外和解”，为客户信息泄露带来的损失买单。

70万美元是纽约州和佛蒙特州政府经过调查得出的处置结果。纽约互联网和技术局的调查人员认为希尔顿酒店“数据安全防护力度远远不够”，也没有遵守支付卡行业数据安全标准（PCI DSS）。PCI DSS是由美国主要的发卡机构共同遵守维护的行业标准，要求所有相关企业确保持卡人数据的安全性。

另外，调查人员也发现入侵事件发生后，酒店方面也没有及时地通知受害客户，在第一次泄露发生9个月以后才向客户发送通知函。

“一旦发生信息泄露，相关企业机构有义务立即通知消费者保护信息，避免损失进一步发生，”纽约州总检察长Eric T. Schneiderman说。“我们在希尔顿酒店中发现的问题非常严重，他们将客户的信用卡信息和其它个人数据置于高风险的环境中。”

纽约州获得40万美元的安置费，佛蒙特州则收到30万。

对于该处置决定，希尔顿方面作出以下回应：“两年前，希尔顿酒店已采取行动消除了以客户支付卡信息为目标的恶意软件威胁。对于此次事件，我们已经展开深入调查，包括与第三方取证专家、支付卡公司、执法部门的合作。希尔顿郑重承诺保护客户的支付卡信息，维护我们的系统完整性。”

2014与2015年数据泄露

希尔顿方面一开始表示并没有发现持卡人数据泄露的证据。但他们没有承认的一点是，他们的数字取证调查员无法查看所有相关日志，还有一种可能是攻击者采用了反取证技术隐匿行踪。

就在希尔顿公开承认数据泄露一个星期前，也就是2015年11月24日，有媒体公开曝光分别在2014和2015年，希尔顿部分POS机遭到恶意程序入侵，大量支付卡信息遭到泄露……

就在上周，调查人员提供了希尔顿2015年两次数据泄露的更多细节：

第一次泄露：2015年2月10日，希尔顿从一家计算机服务提供商那里了解到，希尔顿在英国使用的系统正在与希尔顿计算机网络外的可疑计算机进行通信。取证人员表示泄露的持卡人数据具体日期是在2014年11月18日和2014年12月5日之间。

第二次泄露：2015年7月10日，希尔顿通过某个入侵检测系统发现了第二次入侵事件。取证人员发现其主要目的就是窃取信用卡信息。已遭泄露数据的日期范围在2015年4月21日与2015年7月27日之间。攻击者总共窃取363952个信用卡号码。

自作孽

希尔顿方面在发现数据泄露后延迟了9个月才通知受害者，完全是自作孽，给客户和自身企业造成了更大的损失。

纽约政府认为这种做法违背了纽约州法律，相关规定要求“任何发现用户个人隐私信息泄露的经营实体都必须尽快通知受害人，不得有不合理的拖延。”

这只是信息泄露事件中关于通知受害者的一个决策规定，很多数据泄露专家认为这样远不够，所有企业机构都应有恰当的方法、流程与技术来应对信息泄露事件的突发，在30至60天内对泄露事件展开调查并未受害者提供可操作的信息保护建议。

希尔顿酒店官网在其全球隐私声明中也明确向客户作出承诺：“采取合理措施......保护个人信息免遭未经授权的访问、披露、更改或破坏，并...保持个人信息的准确性与及时更新。”该网站反复向客户保证“你的个人信息是安全的”。

纽约的调查官员人员说，该酒店未能兑现这些承诺。

调解协议

作为调节协议的一部分内容，希尔顿必须立即向所有受害客户发出通知，制定一个全面的信息安全项目并进行数据安全评估。

纽约州总检察长办公室补充说，希尔顿方面还必须“每年对其PCI DSS合规度进行书面评估，并向总检察长报告是否完全合规”。

类似数据泄露事件列举

希尔顿酒店只是近年来遭遇支付卡信息泄露的众多酒店餐饮品牌中的其中一家（另外还有凯悦酒店等）。

2017年7月，特朗普酒店集团发出警告，多年来已遭受了第三次支付卡信息泄露，并称攻击者已窃取支付卡数据长达7个月。

2017年4月，洲际酒店集团公开承认，从2016年9月开始，恶意软件已经感染了1200个地点的POS设备。旗下品牌包括皇冠假日酒店、洲际、金普顿酒店和假日酒店。

其它遭遇信息泄露的酒店还有HEI Hotels＆Resorts以及Omni Hotels＆Resorts等。

攻击者还入侵了含Oracle在内的第三方POS设备，窃取卡片数据。去年八月，Oracle公司表示，攻击者在一个用于支持和维护MICRO POS系统中植入了恶意程序，这是世界上使用最为广泛的POS系统，拥有来自180个国家的33万个用户。

参考来源：www.bankinfosecurity.com，由香港六宝大典资料大全编译。